miércoles, 11 de julio de 2018

¿CÓMO OBTENER BUENOS RESULTADOS DURANTE LA AUDITORÍA ISO 27001?


El término Sistema de Gestión de Seguridad de la Información se encuentra ligado a la norma ISO 27001, aunque no es la única normativa que existe sobre este concepto. 

Es muy importante recordar que un Sistema de Gestión de Seguridad de la Información es el conjunto de políticas que se realizan en una organización para administrar su información. Es importante realizar de forma periódica auditoría ISO 27001.


Las políticas hacen referencia al diseño, desarrollo y mantenimiento de los métodos utilizados para gestionar la accesibilidad de la información y asegurar la confidencialidad, integridad y disponibilidad de los datos.

El Sistema de Gestión de Seguridad de la Información se deberá realizar durante un largo periodo de tiempo para minimizar los riesgos de seguridad de la información y adaptarse a los cambios internos y externos de la empresa. Además, deberá estar en continua revisión para cumplir con la cláusula 8 y 9 que establece la norma ISO 27001.

La auditoría ISO 27001 es esencial para comprobar la correcta certificación. La auditoría se deberá realizar en intervalos de tiempo planificados. En ocasiones, la auditoría ISO 27001 puede resultar compleja, especialmente si no se conoce cómo poner en marcha el proceso y documentarlo, o qué aspectos se deben tener en cuenta en un Sistema de Gestión de Seguridad de la Información.

A continuación, ofrecemos algunos consejos para realizar la auditoría ISO 27001:
  • Comprobar el trabajo más de una vez y por parte de más de una persona. Es necesario que se revise el trabajo de uno mismo es imprescindible, pero cuando se trata de auditoría ISO 27001 hace falta más. Un auditor experto detectará posibles puntos de mejora o nuevas tareas a realizar que pueden escaparse si el trabajo es revisado por una sola persona.
  • Las auditorías independientes son muy útiles. Muchas organizaciones eligen un auditor certificado independiente para asegurar el éxito de la certificación ISO 27001. El motivo radica en que una auditoría independiente identifica mejor las brechas de seguridad y la correcta implantación de las demandas de esta norma internacional sobre seguridad de la información.
  • Las preguntas en una auditoría son buenas. El director de TI señala que el hecho de que una empresa parezca desafiada en una auditoría puede ser frustrante, sobre todo, si cuenta con las medidas para el buen funcionamiento del negocio. Los requisitos ISO 27001 son muy específicos y tienen un lenguaje muy genérico, por lo que suelen surgir dudas durante el procedimiento. Es bueno resolver todas estas cuestiones, ya que obliga a la empresa a adoptar las exigencias del estándar ISO 27001 y estar preparado para la certificación final.
  • Conseguir el conocimiento apropiado. A la vez que las empresas contratar un auditor cualificado con experiencia ISO 27001, para tener todas las garantías de certificación de la norma, por lo que se recomienda adquirir estas competencias internamente. Es necesario estar al tanto de lo que pasa en la auditoría ofrecerá un conocimiento sobre cómo gestionar la información y conseguir a su vea el aprendizaje sobre las vulnerabilidades de seguridad. Es necesario destacar que, sin la experiencia de un profesional experimentado en auditorías internas, estas pueden llegar a ser un verdadero caos. Asimismo, eta situación que se agravaría si es la primera toma de contacto con la norma ISO 27001.
La información se ha convertido en el principal activo de las empresas, por lo que cada vez es más importante crear políticas de seguridad mediante las cuales se protejan la confidencialidad, disponibilidad e integridad de la información. Es necesario tener en cuenta, la figura de los auditores internos toma mucha más relevancia, teniendo en cuenta que son los encargados de evitar que se presenten posibles fugas de información, además de prevenir actos que pongan en riesgo las finanzas de las compañías.

Uno de los estándares más representativos entre auditores internos es la norma ISO 27001, la cual especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información.
Tomado de: https://www.pmg-ssi.com

5 ACCIONES PARA UN PROCESO DE GESTIÓN DE RIESGOS EFICAZ

El tratamiento de los riesgos es un tema que siempre genera discusión. Y lo es, porque un proceso de Gestión de Riesgos siempre conlleva en forma implícita la posibilidad de que algo pueda ir mal.
Es claro que un proceso de Gestión de Riesgos no se limita a la planificación. Es un proceso continuo y dinámico que se ve alterado por las factores internos y externos de la organización, por lo que, una de sus etapas esenciales es el monitoreo y la supervisión, que permiten la identificación y el registro de nuevos riesgos, así como la desaparición o el cambio de categoría de otros.

Proceso de Gestión de Riesgos eficaz

Crear una lista de riesgos es un buen punto de partida. Pero es solo el primer paso. 

Crear una lista de riesgos es un buen punto de partida. Pero es solo el primer paso. La preparación de un plan de acción para cada riesgo, no solo es útil… es imprescindible.Sin un plan de acción, la capacidad de Gestión de Riesgos de la organización se ve limitada a la identificación y el registro. 

El plan de acción debe considerar algunas acciones: se trata de 5 diferentes acciones que podemos tomar sobre los riesgos identificados.

Veamos a continuación, una visión detallada de cada una de estas acciones:

Aceptar el riesgo


Aceptar el riesgo significa identificarlo y registrarlo en su Sistema de Gestión de riesgos, pero no tomar ninguna acción sobre él. Simplemente, su organización acepta que puede suceder y solo planifica acciones correctivas en caso de ocurrir.

Se trata de una acción válida en caso de riesgos de bajo impacto, o de muy baja probabilidad de ocurrencia. Una organización puede consumir tiempo y recursos en preparar una estrategia para tratar de forma diferente estos riesgos, pero estas acciones tendrían un algo costo, razón por la cual, lo mejor es no hacer nada con respecto a ellos.

Evitar el riesgo

Es una buena estrategia cuando un riesgo representa un alto impacto negativo, está perfectamente identificado, y es posible modificar o eliminar el proceso que da origen a él.

Un buen ejemplo de ello es el incumplimiento en los compromisos fiscales y tributarios que tiene la organización en los primeros meses del año. Esto, puede acarrear serias sanciones penales y pecuniarias que causarán un gran impacto en las finanzas de la organización.

Usualmente, las organizaciones empiezan a trabajar en sus declaraciones fiscales, una vez ha terminado el año. Dependiendo del país, tendrán entre uno y tres meses para lograrlo. Este periodo de tiempo muchas veces no es suficiente.

Evitar este riesgo, puede requerir cambiar un proceso de revisión y análisis de estados financieros anual, a periodos trimestrales. De esta forma, al finalizar el año, solo habrá que hacer un trabajo de auditoría a tres meses, y no a un año completo, con lo cual se evitará el riesgo al que hacemos referencia.

Transferencia del riesgo

Es una buena estrategia dentro de un proceso de Gestión de Riesgos eficaz, que no suele ser utilizada a menudo, y tiende a ser más común en proyectos en los que participan varias organizaciones.

Básicamente, lo que se hace es transferir o compartir en gran parte el riesgo, con otra persona u otra organización. Un ejemplo sencillo: su organización contrata un proveedor de servicios para escribir el código de un software. Dentro del contrato, transfiere el riesgo de posibles errores en la escritura del software al proveedor.

Pero la mejor forma de transferir o compartir un riesgo, es contratando una póliza de seguros con una compañía aseguradora. De esta forma, la organización reconoce que es un riesgo inminente y que no tiene recursos técnicos ni económicos para tratarlo, así es que lo transfiere a la aseguradora.

Es el caso del robo, incendio, accidentes laborales, entre otros.

Mitigar el riesgo

Minimizar el impacto del riesgo, o reducir las posibilidades de que ocurra, es también una acción válida dentro de un proceso de Gestión de Riesgos eficaz. Mitigar significa que la organización puede limitar el impacto de un riesgo, de modo que, aunque este ocurra, el impacto sea mínimo y fácil de subsanar.

El lanzamiento de nuevos productos, siempre incorpora el riesgo de pérdidas para cualquier organización. Factores como el desconocimiento del producto por parte del público, la falta de destreza de los vendedores para promocionarlo, o las condiciones económicas imperantes en el momento del lanzamiento, pueden traducirse en menos ventas, menos ingresos, altos costos y, por supuesto, perdidas económicas.

Limitar las unidades producidas al mínimo, intensificar el entrenamiento de los vendedores, planificar en forma cuidadosa la fecha de lanzamiento, crear una campaña de expectativa directamente sobre el público objetivo… todas ellas son acciones que permitirán mitigar el riesgo.

Explorar el riesgo

El ejemplo anterior, nos permite también ilustrar nuestra siguiente acción para tratar riesgos dentro de un proceso de Gestión de Riesgos eficaz.

¿Qué sucede si el nuevo producto resulta tan popular que la organización no tiene suficiente personal en el equipo de ventas para atender a los consumidores? En estos casos, deseamos maximizar la probabilidad del que el riesgo ocurra, ya que, más que un riesgo, es una oportunidad.

La estrategia de Gestión de Riesgos adecuada es explorar. La organización puede entrenar personas dentro del equipo de administración, por ejemplo, para que asuman funciones comerciales de emergencia y estén preparadas para realizar demostraciones, aumentando así el interés por el nuevo producto.

La exploración del riesgo implica ver las dos caras de la moneda. Todos los riesgos, aunque no nos sea posible apreciarlo en primera instancia, pueden representar una oportunidad, para la cual, la organización debe también estar preparada.

Presentamos cinco estrategias dentro de un proceso de Gestión de Riesgos eficaz, pero, eventualmente, podemos hacer uso de una combinación de ellas. Esto, sumado a la supervisión y monitoreo constante, asegurará la eficacia del sistema.


Si lo desea, IDEA CONSULTORES & ASESORES S.A.S. puede ayudarle en el proceso de transición o en la implementación, control, medición, mejora  y todos los temas de su Sistema de Gestión (ISO 9001:2015, ISO 14001:2015, ISO 45001, ISO 31000 y otras normas). Contáctenos, uno de nuestros profesionales lo visitará.

Tomado de: https://www.isotools.org